Trattamento dei dati personali (Privacy Policy)

Identity Provider

Servizio di autenticazione federata offerto dall’organizzazione di appartenenza.

Fornitore del servizio:

• Nome: CISIA - Consorzio Interuniversitario Sistemi Integrati per l'Accesso
• Email: sysadmin@cisiaonline.it
• Indirizzo: Via Giuseppe Malagoli, 12 - 56121 Pisa

Il Fornitore del servizio è titolare del trattamento dei dati personali gestiti tramite il Servizio, ai sensi dell’art.26 del GDPR.

Il Fornitore del servizio è responsabile riguardo all'esercizio dei diritti dell'interessato a alla comunicazione delle informazioni di cui agli articoli 13 e 14 del GDPR.

Giurisdizione e

autorità di controllo

IT-IT

Garante per la Protezione dei Dati Personali
Come presentare una denuncia all'autorità competente per la protezione dei dati:
https://www.garanteprivacy.it/home/diritti/come-agire-per-tutelare-i-tuoi-dati-personali

Dati personali trattati e base legale per il trattamento

1. Alcuni o tutti tra i seguenti dati personali raccolti presso l’interessato da parte del Fornitore del servizio:
   1. uno o più identificativi univoci
   2. Credenziale di riconoscimento
   3. Nome e cognome
   4. Codice fiscale
   5. Indirizzo di posta elettronica
   6. Ruolo nell’organizzazione
   7. Nome dell’organizzazione
2. Dati personali raccolti direttamente presso l’interessato durante il normale utilizzo del servizio:
   1. Preferenze relative al consenso all’utilizzo di Risorse in rete;
   2. Record di log del servizio IDP: identificativo utente, data e ora di utilizzo, servizio richiesto, attributi trasmessi al servizio;
   3. Record di log degli altri servizi (http, ldap, …).

I dati personali raccolti sono raccolti e conservati in Italia in conformità con il GDPR. Il loro trattamento è necessario per fornire il servizio.

Scopo per il trattamento dei dati personali

Fornire il servizio di Identity Management as a Service e il servizio di Identity Provider as a Service al fine di autenticare l’interessato per l’accesso ai servizi in rete richiesti dall’interessato stesso.

I dati personali (attributi) vengono trasmessi a terze parti (Risorse) su richiesta dell’interessato allo scopo di ottenere il servizio richiesto.

I dati di log contengono dati personali dell’interessato che vengono raccolti allo scopo di verificare il funzionamento del servizio e per garantire la sicurezza dello stesso.

Terze parti a cui vengono comunicati i dati

Il Fornitore del servizio decide a quali terze parti comunicare i dati personali degli interessati, rispettando il principio di minimizzazione. I dati personali vengono trasmessi solamente nel momento in cui l’interessato richiede l’accesso alla Risorsa della terza parte ed allo scopo di ottenere il servizio fornito dalla Risorsa.

Tali Risorse sono:

• Tutte le Risorse della Federazione IDEM;
• Le Risorse della Federazione eduGAIN che sono conformi al Data Protection Code of Conduct;
• Le Risorse di eduGAIN che sono conformi a Research and Scholarship;

Terze parti fuori dalla EEA:

• Alcune Risorse conformi al Data Protection Code of Conduct;
• Alcune Risorse conformi a Research and Scholarship;

Come accedere, correggere, cancellare i dati personali e opporsi al loro trattamento.

Contattare i titolari del trattamento indicati precedentemente.

Ritiro del consenso dell’interessato

Gli unici dati che vengono raccolti con il consenso dell’interessato sono le preferenze riguardo la trasmissione degli attributi a terze parti. Essi vengono raccolti on-line al momento del primo accesso alla Risorsa e possono essere eliminati, con il risultato di ritirare il consenso alla loro trasmissione, iniziando nuovamente la procedura di login e spuntando la casella "Ripulisci i permessi di rilascio di informazioni dati a questo servizio in precedenza"

Portabilità dei Dati

Il Contraente può richiedere la portabilità dei dati relativi alle identità digitali, comprese le credenziali e le informazioni relative al consenso, che verranno forniti in formato aperto e ai sensi dell’Art. 20 del GDPR. Il servizio di portabilità è gratuito alla cessazione del servizio.

Durata della Conservazione dei Dati

Tutti i dati personali dell’interessato (attributi) sono conservati per tutto il tempo in cui è necessario fornire il servizio all’interessato. Se non è più necessario fornire il servizio, il contraente può disattivare un utente. Anche l’interessato può chiedere la disattivazione della propria utenza. In caso di disattivazione dell’utenza dell’interessato i dati sono conservati per ulteriori 18 mesi per poter valutare se l’utente deve/può essere riattivato. Dopo 18 mesi dalla disattivazione, se non è stata richiesta una riattivazione, tutti i dati dell’interessato vengono cancellati.

I dati di log vengono conservati per 1 mese dalla raccolta, dopo di ché vengono rimossi.